Федеральная Служба Опасности

 Я вот думал на тему обнаружения проксей. Если у нас есть веб сервер, то часто довольно полезно знать - пользователь заходит через проксю или без посредников. Некоторые прокси отмечают факт своего существования в HTTP заголовках. но не все. Хорошие анонимные прокси стараются не выдавать себя ничем.
Обычные подходы - это либо использовать баги в браузере или плагинах, чтобы заставить компьютер пользователя связаться с нами напрямую (decloak.net - один пример) , либо разбирать отдельные IP-пакеты и пытаться найти несоответствия (клиент говорит, что виндовс, а трафик линусом пахнет)

А мне тут пришел в голову еще один подход, насколько я знаю, никем не обнародованный.

Можно судить по некоторым временнЫм характеристикам трафика.  Если какая-то часть информации обрабатывается клиентом (браузером), а какая-то на прокси - то времена ответа будет заметно различаться. И чем дальше прокся от ее клиента, тем разница по времени больше. (и тем выше шанс, что пользователь что-то замышляет)

Конкретный пример:

Получаем коннект с адреса 1.2.3.4 - это прокся? Не знаем, но сначала отсылаем обратно ping 1.2.3.4. тот возвращается за 100 миллисекунд. Если посредине стоит прокся - то на ping ответила как раз она.

Теперь шлем браузеру редирект на другую страницу нашего сайта. Послали, и через минуту нам возвращается HTTP запрос по новому адресу. Редиректы отрабатываются в браузере. а не на прокси, поэтому минута - это меря расстояния до самого пользователя (плюс скорости браузера итп)

Расхождение очень большое, поэтому можно утверждать, что да - пользователь зашел через проксю. Точные параметры, что считать за большое расхождение, что - нет, надо выяснять из опыта, но статистику набрать нетрудно.

Вот такой метод. У кого-нибудь есть соображения  и предложения по поводу?

ЗЫ: Существует еще минимум три-четыре варианта атаки, которые работают куда точнее, но это уже секрет фирмы =) Попробуйте сами прикинуть )

ЗЗЫ: Всесто ping который будет виден в трафике можно использовать среднее время между отсылкой TCPпакета и его приходом его подтверждения. Тогда никаких аномалий не будет вообще.

Группа исследователей из университета Калифорнии в Сан-Диего (UCSD) пишет о новом интересном виде атак на банкоматы.

Немного контекста: одной из задач жуликов, ворующих банковские карточки является - как узнать PIN-код владельца? Код - это одна из степеней защиты и без него провести успешную транзакцию гораздо сложнее - даже если удалось скопировать всю магнитной полосу на карте.  Одно из популярных решений - это миниатюрная камера, снимающая процесс ввода. К счастью (или увы, если вы - кардер),  как это следует из ролика, многие пользователи уже выучили, что клавиатуру надо прикрывать. И что тогда?

Хитрые ученые придумали обходной маневр - использовать инфракрасную камеру. Как известно из видео-игр и голливудских боевиков, такие камеры способны фиксировать тепловые отпечатки, оставленные пальцами на кнопках даже после того как пользователь убрал руку. В отличие от других голливудских штампов, прием реально работает:



Даже ребенку понятно, что в PIN коде сначала идет 1 или 4 , а потом 5 или 8
(на самом деле 1485) 

Как и подобает настоящим иследователям, они тщательно проанализировли ситуацию и пришли к выводу, что термо-отпечатки остаются во вполне распознаваемом состоянии еще в течении целой минуты после нажатия. Причем, при наличии хороших алгоритмов, процесс снятия PINa и превращения его обратно в цифры можно полностью автоматизировать. Исходники кода, естественно, не приводится. Но факт остается фактом. 

Как защититься? Во-первых, лучше пользоваться банкоматами с металлическими, а не пластиковыми, кнопками. Там теплопроводность гораздо выше, и, соответственно, отпечатки остывают гораздо быстрее. Во-вторых, не просто прикрывайте клавиатуру рукой, а после ввода накрывайте ее всей ладонью. Этим вы равномерно нагреете все кнопки и полностью собъете с толку распознаватель.
Говорят еще, что сущесвуют виды красок, которые так отражают инфракрасный свет, что полностью слепят камеру, но на данный момент банкоматы ими не красят. Вполне возможно, что скоро будут.

M. Zalewski - Cracking Safes with Thermal Imaging
UPDATE: Только что вышли об этом статьи в Wired и в блоге Sophos

Анонимусы (а точнее Legion of Anonymous Doom) взломал итальянский Центр Защиты Критической Инфраструктуры и Борьбы с Компьютерной Преступностью (CNAIPIC) . Управление "К" по-нашему. Как утверждается в сообщениии от хакерской группы, всего слито 8Гб внутренних документов, включая дипломатическую переписку, государственные контракты и прочие секреты. Если все правда, то это калибр Викиликс. Пока в общий доступ выложено три сотни мегов (там, кстати, есть кое-то и на русском) плюс всякие картинки и превьюшки.





Вот полный список файлов со слива. Хакеры попались не очень организованные, поэтому слив довольно хаотичный:

pastebin.com/r21cExeP - первый релиз
pastebin.com/3E7UPduL - второй релиз
pastebin.com/jYyicJ8M - третий релиз

www.filefactory.com/file/c1a317f/n/CNAIPIC4N.rar - 96Мб
www.filefactory.com/file/cc96b20/n/CNAIPICP3N.rar - 213Мб
www.depositfiles.com/ru/files/tm7zeqiq9 - 27 Мб
www.depositfiles.com/ru/files/nn6dbleyv - 60.3Мб
www.depositfiles.com/ru/files/8n16xnndi - 10.2Мб

imgur.com/a/YHhOK - сканы некоторых документов
imgur.com/a/Y1Imb - и еще сканы
imgur.com/a/4B6Mz  - и еще
imgur.com/a/fP18v - и еще

imgur.com/a/tkFdY#UTByw - общий вид слитых файлов

Неожиданное: посольства даже таких солидных стран, как Китай, ныне пользуются бесплатными почтовыми сервисами для официальной переписки. china.da.india at gmail.com - это официальный адрес китайского военного атташе в Индии. 

via The Hacker News

недавно ФБР арестовало двух граждан Латвии за распространение программ, порочащих честь и достоинство антивирусов, в народе FakeAV. Наверное, все уже читали. Объемы работы впечатляют: 960 тысяч оплаченных инсталлов - чуть-чуть до золотого диска не дотянули. Цена копии 69.95. Умножаем, переносим, цокаем языком. Естественно, что-то (а именно 28 лямов) отдали адверам, хозяевам червя Conficker, но и самим осталось на проезд в автобусе. Хороший бизнес.
Стало мне интересно, где они на инете засветились и как их биз назывался? Ведь не могли же эти граждане Латвии от гугля скрыться.

Не скрылись.

Дано в пресс-релизе: Peteris Sahurovs, 22 Место жительства Rezekne, Latvia

По посту на светлой памяти крутопе выходим на никнейм Piotrek

Находим аккаунт на masterx

Оттуда icq 333233955 и адрес piotrek89 at gmail.com
Год рождения совпадает )

Ищем по аське находим посты на злом, ачате итп


Свежак. кстати. за неделю до ареста.

На damagelab находим:

(второй ICQ вероятно принадлежит подельнице Марине Маслобоевой)

Про программу vivainstalls/happyinstalls можно почитать тут
http://malwareint.blogspot.com/2010/08/pay-per-install-through-viva-installs.html

А вот за что фбр забрало три стойки сервизов в DigitalOne:



Как же на него вышли? Я не в курсе материалов дела, но вот вам пожалуйста страница с его ICQ, настоящим именем и местом жительства  Можно далеко не ходить


Остается открытым вопрос, процессился ли он через Хронопей?

Financial Mogul Linked to DDoS Attacks
Небольшая путаница с датами в начале, а так все, вроде, ок. Даже новая деталь упомянута: что Engel был ранее адвером в Спамите, но потом ушел и начал ддосить бывших работодателей. Жестокий мир фарма-бизнеса.

Кстати. А не связаны ли как-то данные события с операцией ФБР под кодовым названием Trident Tribunal? Это в ее рамках только что были изъяты сервера компании DigitalOne и арестованы двое распространителей поддельных антивирусов. Так уж получилось, что главный процессор платежей по fakeAv это Хронопей. Не факт, что он процессил конкретно арестованных (про них пока мало известно), но совпадение имеет место.

Корпорация Microsoft, Истец, против Джона Доу 1-11, управляющего компьютерной сетью ботнет, наносящей вред Microsoft и ее клиентам  (Под компьютерной сетью ботнет тут подразумевается Rustock )

Часть материалов переведена уже на русский.

Оказывается, есть такой вид спорта - прыжки в глубину на множестве Мандельброта - кто изобразит множество под самым большим увеличением, тот и чемпион. Хотя алгоритм сам и простой, но когда просчитывешь точки с точностью сто знаков после запятой, то очень внушительные ресурсы требуются.

Увеличение 2¹⁴¹  - около 7000 часов на 1 GHz Athlon TB (2001)

Увеличение 2²³⁶ - конфигурация и время не указаны (2009)

Увеличение 2³¹⁶ - 5 месяцев на 20 двуядерных машинах (2009)

Увеличение 2⁶⁴⁵ - 3 четырех ядерных машины, 3 месяца (2008)

Увеличение 2⁷⁶⁰ - 6 месяцев, компьютер не указан (2010)

Увеличение 2⁸³⁸ - 1 год на неизвестном числе компьютеров

Увеличение 2⁹¹⁵ - 12 процессорных ядер, 6 месяцев (2010)


Для сравнения: отношение диаметра видимой вселенной к диаметру протона составляет всего-навсего 2¹³⁹

Как я уже говорил. Лулзсеков обвиняют в вымогательстве денег с взломаной ими компании Unveilance

 

Мне кажется. это все таки троллинг. Во-первых, если у тебя лулзы прямо в названии прописаны, то и хулиганить  следует ради лулзов. а не ради презренного металла - это ж теперь мировая торговая марка. То есть, если бы -жертва согласиласть на условия, то лулзы обеспечены, но бренд велит, чтоб деньги пошли в фонд защиты Брэдли Маннинга или хотя бы бронзовый бюст Рика Эстли. Иначе профанация.

Во-вторых, нвбор валют явно сочинялся прямо за клавиатурой. Что они будут делать с ворохом биткоинов? Покупать наркоту на SIlk Road разве что. Вывести сразу крупную сумму биткоинов жуткий геморрой. Спихнуть каких-нибудь10 тысяч - это просто рынок обрушится. Вебмани еще смешнее - чуваки ж явно не россияне. Вы когда-нибудь пробовали оперировать вебманями из-за рубежа? А сверлить зубы ручной дрелью? В дрели багов меньше.

Итак. Пресса сейчас будет рассказывать, что Анон стал тупым ворыгой. а я все-таки считаю. что он продолжает оставаться толстым троллем.

ЗЫ: Впрочем, ботнет можно было и бы и взять.
This entry was originally posted at http://malaya-zemlya.dreamwidth.org/15205.html. Please comment there using OpenID.

Очень популярны стали сервисы сокращения URLов типа tinyurl.com или bit.ly. Не все, однако догадываются, что их можно использовать для бесплатного анонимного хостинга. А почему б и нет? URL - это просто особо оторматированный текст, который может содержать все, что угодно. Кодируем, например, веб-страницу  в виде адресной строки, нажимаем кнопку "сократить" - все, страница хранится в базе данных сервиса.

В качестве демки я соорудил анонимный бесплатный хостинг на базе tinyurl. Общая идея такова: данные хранятся внутри хэша URLа (т.е. части адреса после # и перед ?) в виде строки, закодированной в формате Base64. Остальная часть адреса указывает на адрес страницы, которую я разместил на Google AppEngine, тоже забесплатно. На этой странице находится небольшой скриптик, который распаковывает данные из адреса, и выводит их в браузер:


Вторая страница не так критична - это просто пользовательский интерфейс к TinyURL на Джаваскрипте, который берет текстовые данные, пакует, и отправляет на сервера для сокращения.
Можно и без нее обойтись, в принципе - пойти и вбить данные вручную.

Заливать данные здесь: url-hosting.appspot.com/tiny_host.htm

Получается так: http://tinyurl.com/3ngru2l

Кстати, прошу обратить внимание, что на мой сервер содержимое размещамых страниц не поступает вообще. Весь поток идет между браузером и серверами TinyURL. Форма с данными посылается непосредственно на их компьютеры, а хэши URLов браузер сам выкидывает из запросов. Я вижу только серию обращений к tiny_host.html и tiny_url.html безо всякой дополнительной информации. Это сделано, во-первых, чтоб не создавать лишний трафик на бесплатный хостинг, а во-вторых, для прайваси. И чтоб страницу мне не снесли.

Главное ограничение этой версии, это что хостить можно только веб страницы. С другими видами файлов процесс чуть сложнее. Можно либо вставлять данные непосредственно в страницу при помощи протокола data:, либо исполнять танцы с iframe и межсайтовой передачей данных. Авось, допишу как-нибудь.

Еще: Презентация Даниеэля Кроули о сокращении URL  на конференции Schmoocon 2011 This entry was originally posted at http://malaya-zemlya.dreamwidth.org/7997.html. Please comment there using OpenID.

На рассылке full-disclosure появилось сообщение о взломе компьютеров Рижской ТЭЦ-2. Письмо датировано 4 мая, а имя автора обозначено как Zhang Xinhu из Китайского Альянса Хакерской Молодежи (Chinese Hacker Youth Alliance). Впрочем, имя наверняка псевдоним, ибо так зовут китайскую супермодель.

Update: Фейк. Скриншоты украдены из этой презентации. (via @briankrebs)



В качестве доказательств приводятся дампы конфигураций и паролей, а также несколько скриншотов. На картинках изображено окошко от раутера (говорят, подстанции Вальмерия) и какая-то внутренняя программа XPower 6.5 на латышском. Хакеры утверждают, что часть АСУ, но по-моему больше похоже на географическую базу данных.

This entry was originally posted at http://malaya-zemlya.dreamwidth.org/6426.html. Please comment there using OpenID.